7.5.2. ファイルでの永続監査ルールおよび制御の /etc/audit/audit.rules 定義

再起動後も持続する Audit ルールを定義するには、/etc/audit/audit.rules ファイルに含める必要があります。このファイルは、同じ auditctl コマンドライン構文を使用してルールを指定します。空の行やハッシュ記号(#)の後に続くテキストは無視されます。
また、auditctl コマンドは、-R オプションを使用して、指定したファイルからルールを読み込むために使用することもできます。以下に例を示します。
~]# auditctl -R /usr/share/doc/audit-version/stig.rules

コントロールルールの定義

ファイルには、Audit システムの動作を変更する以下の制御ルール(、-b、、-D -e -f、および)のみを含めることができます -r。これらのオプションの詳細は、を参照してください 「コントロールルールの定義」

例7.3 の制御ルール audit.rules

# Delete all previous rules
-D

# Set buffer size
-b 8192

# Make the configuration immutable -- reboot is required to change audit rules
-e 2

# Panic when a failure occurs
-f 2

# Generate at most 100 audit messages per second
-r 100

ファイルシステムおよびシステムコールルールの定義

ファイルシステムおよびシステムコールルールは、auditctl 構文を使用して定義されます。の例は、以下のルールファイルで表示 auditctl ユーティリティーを使用した Audit ルールの定義」 できます。

例7.4 のファイルシステムおよびシステムコールルール audit.rules

-w /etc/passwd -p wa -k passwd_changes
-w /etc/selinux/ -p wa -k selinux_changes
-w /sbin/insmod -p x -k module_insertion

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

事前設定されたルールファイル

/usr/share/doc/audit-version/ ディレクトリーでは、audit パッケージは、さまざまな証明書規格に従って、事前設定されたルールファイルのセットを提供します。
  • nispom.rules - National Industrial Security Program Operating Manual の第 8 章で指定されている要件を満たす監査ルール設定
  • capp.rules : Common Criteria 証明書に含まれる Controlled Access Protection Profile (CAPP)によって設定されている要件を満たす監査ルール設定。
  • lspp.rules : Common Criteria 証明書に含まれる Labeled Security Protection Profile (LSPP)で設定されている要件を満たす監査ルール設定。
  • stig.rules : セキュリティー技術実装ガイド(STIG)で設定されている要件を満たす監査ルール設定。
これらの設定ファイルを使用するには、元の /etc/audit/audit.rules ファイルのバックアップを作成し、任意の設定ファイルを /etc/audit/audit.rules ファイルにコピーします。
~]# cp /etc/audit/audit.rules /etc/audit/audit.rules_backup
~]# cp /usr/share/doc/audit-version/stig.rules /etc/audit/audit.rules

このページには機械翻訳が使用されている場合があります (詳細はこちら)。